La reciente Sentencia del Tribunal de Justicia de la Unión Europea (en adelante, TJUE) de 16 de julio de 2020, da respuesta a las consultas planteadas por el Tribunal Superior de Irlanda, ante el cual un ciudadano interpuso reclamación para que se le prohibiera a Facebook Ireland, filial de Facebook INC que se encuentra establecida en EEUU, la transferencia de sus datos personales a Estados Unidos, ya que el derecho estadounidense obliga a Facebook INC a poner los datos personales a disposición de las autoridades estadounidenses, como la National Security Agency (NSA) y la Federal Bureau of Investigation (FBI).
Entre las cuestiones que el Tribunal Superior de Irlanda plantea al TJUE, se encuentra la relacionada con la Decisión 2016/1250 de la Comisión Europea, por la cual se declara el nivel adecuado de protección del esquema del Escudo de Privacidad (Privacy Shield) para las transferencias internacionales de datos a EEUU (en adelante, Decisión EP), concretamente se plantea si el Derecho de los Estados Unidos garantiza efectivamente el nivel de protección adecuado exigido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas a la luz de la Carta Derechos Fundamentales de la UE en (adelante RGPD).
La Decisión EP, de la Comisión Europea declara que los Estados Unidos garantizan un nivel adecuado de protección de los datos personales transferidos desde la Unión a entidades establecidas en los Estados Unidos, articulando una serie de instrumentos y mecanismos para garantizar la protección de datos transferidos a dicho país. De esta forma, se autoriza la transferencia de datos personales a entidades con sede en Estados Unidos mediante la utilización de unos mecanismos que la Comisión Europea declara que son acordes a las exigencias normativas de protección de datos de la Unión Europea.
La declaración de invalidez de la Decisión EP se debe a que la Normativa de Estados Unidos relativa a los programas de inteligencia para la recopilación de datos no cumplen el principio de proporcionalidad, en tanto que no respetan ni garantizan un nivel de protección equivalente al resultante de la Carta de Derechos Fundamentales de la UE. A este motivo se le añade que la figura del Defensor del Pueblo contemplada en la Decisión EP, con el fin de comprobar si cumple con el principio de tutela judicial efectiva, no se encuentra facultada para adoptar decisiones vinculantes respecto a reclamaciones planteadas por los interesados y además no se garantiza su independencia respecto al poder ejecutivo, dado que no se establecen garantías ante su posible destitución o anulación de su nombramiento.
Las consecuencias de la declaración de invalidez de la Decisión EP dan lugar a que las transferencias de datos a E.E.U.U. estén sujetas, de conformidad con el artículo 45.3 RGPD, a lo recogido en el artículo 46 de dicho Reglamento:
“Artículo 46
Transferencias mediante garantías adecuadas
1. A falta de decisión con arreglo al artículo 45, apartado 3, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.
2. Las garantías adecuadas con arreglo al apartado 1 podrán ser aportadas, sin que se requiera ninguna autorización expresa de una autoridad de control, por:
a) un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos; b) normas corporativas vinculantes de conformidad con el artículo 47;
c) cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2;
d) cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión con arreglo al procedimiento de examen a que se refiere en el artículo 93, apartado 2;
e) un código de conducta aprobado con arreglo al artículo 40, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados, o
f) un mecanismo de certificación aprobado con arreglo al artículo 42, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.
3. Siempre que exista autorización de la autoridad de control competente, las garantías adecuadas contempladas en el apartado 1 podrán igualmente ser aportadas, en particular, mediante:
a) cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, o
b) disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.
4. La autoridad de control aplicará el mecanismo de coherencia a que se refiere el artículo 63 en los casos indicados en el apartado 3 del presente artículo.
5. Las autorizaciones otorgadas por un Estado miembro o una autoridad de control de conformidad con el artículo 26, apartado 2, de la Directiva 95/46/CE seguirán siendo válidas hasta que hayan sido modificadas, sustituidas o derogadas, en caso necesario, por dicha autoridad de control. Las decisiones adoptadas por la Comisión en virtud del artículo 26, apartado 4, de la Directiva 95/46/CE permanecerán en vigor hasta que sean modificadas, sustituidas o derogadas, en caso necesario, por una decisión de la Comisión adoptada de conformidad con el apartado 2 del presente artículo.”
Como puede observarse, el artículo 46 del RGPD establece el empleo de una serie de “garantías adecuadas” que permiten que no sea necesaria la autorización de una autoridad de control, a continuación, explicamos cada una de esas garantías:
a) Instrumentos jurídicamente vinculantes y exigibles entre las autoridades u organismos públicos: se trata de acuerdos entre organismo o autoridades mediante los cuales se establecen una serie de medidas para garantizar la protección de datos.
b) Normas corporativas vinculantes de conformidad con el artículo 47: se trata de normas aprobadas por la autoridad de control competente que establecen una serie de normas relativas a derechos de los interesados en el tratamiento, información sobre las normas corporativas, funciones del delegado de protección de datos, etc.
c) Cláusulas tipo de protección de datos adoptadas por la Comisión: se trata de cláusulas tipo que se han incluir en los contratos, aparecen reflejadas en las siguientes Decisiones:
➢ Decisión 2001/497/CE, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales entre responsables del tratamiento a un tercer país.
➢ Decisión 2004/915/CE, de 27 de diciembre de 2004, por la que se modifica la Decisión 2001/497/CE en lo relativo a la introducción de un conjunto alternativo de cláusulas contractuales tipo para la transferencia de datos personales a terceros países.
➢ Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE d.
d) Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión: se trata de cláusulas tipo adoptadas por organismos públicos e independientes que, en cada Estado Miembro, tienen como objetivo principal supervisar la aplicación del RGPD para garantizar la protección de los derechos y libertades de las personas físicas y facilitar la libre circulación de los datos de carácter personal en la UE.
e) Códigos de conducta aprobados con arreglo al artículo 40, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados: se trata de un mecanismo de autorregulación que pueden elaborar las asociaciones y otros organismos de categorías de responsables o encargados del tratamiento, los cuales tienen por finalidad contribuir a la correcta aplicación del RGPD.
f) Mecanismos de certificación aprobados con arreglo al artículo 42, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados: al igual que los códigos de conductas, sirven para demostrar el cumplimiento del RGPD por parte de los responsables y encargados del tratamiento, estableciendo garantías adecuadas para la transferencia de datos internacionales, permitiendo evaluar con mayor rapidez el nivel de protección de datos de productos o servicios.
En conclusión,
ante la declaración de invalidez de la Decisión EP mediante la cual se declara que Estados Unidos garantiza una protección de datos equivalente al recogido en la Carta de Derechos Fundamentales de la Unión Europea, la única vía posible para poder transferir datos de un Estado Miembro a E.E.U.U. es aplicando los mecanismos que garantizan la protección de datos recogidos en el artículo 46 del RGPD, en otras palabras, es posible la transferencia de datos a E.E.U.U. desde la UE siempre que se aplique alguno de los mecanismos contemplados en dicho artículo del RGPD, teniendo en cuenta que, si no existe instrumento jurídico vinculante, códigos de conducta, normas corporativas o mecanismos de certificación, resulta es posible acudir a las cláusulas tipo recogidas en las decisiones 2001/497/CE, de 15 de junio de 2001, Decisión 2004/915/CE, de 27 de diciembre de 2004 y Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010. Dichas cláusulas tipo aparecerán reflejadas en el contrato entre el responsable del tratamiento (ubicado en la UE) y el encargado del tratamiento (ubicado en E.E.U.U.).
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.